Se ha descubierto un nuevo malware, que se estima que esta basado en OSX.DarthMiner, conocido script que afecta a sistemas Mac, el cual combina el backdoor EmPyre y el minero XMRig.
La función que tiene esta amenaza es robar las cookies del navegador asociadas a intercambios de criptomonedas y otros sitios web que visita la víctima que poseen servicios encargados de manejar dineros.
El malware ha sido denominado como “CookieMiner” y se han identificado los siguientes comportamientos:
- Robo de cookies en Google Chrome y Safari.
- Robo de credenciales de usuario y contraseñas almacenadas en Google Chrome.
- Robo de credenciales asociadas a tarjetas de crédito guardadas en Google Chrome.
- Robo de mensajes de texto (SMS) en teléfonos iPhone en caso de que se haya realizado una copia de seguridad.
- Robo del monedero de criptomonedas con datos y claves privadas.
- Mantener control total de la víctima usando el backdoor EmPyre.
- Minar criptomonedas en el equipo de la víctima.
En conclusión el malware se encarga de ayudar a los atacantes a generar ganancias mediante la recopilación de información de credenciales y minería.
Archivos a considerar
- c65e65207f6f9f8df05e02c893de5b3c04825ac67bec391f0b212f4f33a31e80 uploadminer.sh
- 485c2301409a238affc713305dc1a465afa9a33696d58e8a84e881a552b82b06 harmlesslittlecode.py
- 27ccebdda20264b93a37103f3076f6678c3446a2c2bfd8a73111dbc8c7eeeb71 OAZG
- 91b3f5e5d3b4e669a49d9c4fc044d0025cabb8ebb08f8d1839b887156ae0d6dd com.apple.rig2.plist
- cdb2fb9c8e84f0140824403ec32a2431fb357cd0f184c1790152834cc3ad3c1b com.proxy.initialize.plist
- ede858683267c61e710e367993f5e589fcb4b4b57b09d023a67ea63084c54a05 xmrig2
Información C2 (comando y control)
- hxxps: // ptpb [.] pw / OAZG
- 46.226.108 [.] 171
REFERENCIA
COMENTARIOS